你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

使用 Azure 容器注册表中的专用数据终结点缓解数据外泄

Azure 容器注册表中的专用数据终结点使客户端防火墙规则的范围严格到特定注册表，从而最大程度地减少数据外泄问题。

专用数据终结点功能可用于高级服务层级中的注册表。

从注册表拉取内容涉及两个终结点：

注册表终结点（通常称为登录 URL），用于进行身份验证和发现内容。 docker pull contoso.azurecr.io/hello-world 等命令发出 REST 请求，该请求对表示所请求的项目的层进行身份验证并进行协商。数据终结点提供表示内容层的 blob。

展示终结点的示意图。

注册表服务管理数据终结点存储帐户。这些托管存储帐户的优点包括负载均衡、连续内容拆分、用于实现更高并发的内容交付的多个副本以及多区域的异地复制支持。

Azure 专用链接虚拟网络支持

Azure 专用链接虚拟网络支持为 Azure 虚拟网络中的托管注册表服务启用专用终结点。在这种情况下，可以使用专用 IP 从虚拟网络内部访问注册表和数据终结点。

可安全地从虚拟网络内部访问托管注册表服务和存储帐户后，会立即删除公共终结点。

展示虚拟网络支持的示意图。

但是，虚拟网络连接并不总是一个选项。

重要说明

Azure 专用链接是控制客户端和注册表之间的网络访问的最安全方法，因为网络流量仅限于使用专用 IP 地址的 Azure 虚拟网络。专用链接不可用时，专用数据终结点可以提供关于从每个客户端可访问哪些资源的安全知识。

客户端防火墙规则限制对特定资源的访问。从本地主机、IoT 设备和自定义生成代理连接到注册表时，防火墙规则适用。当专用链接支持不是选项时，这些规则也适用。

展示客户端防火墙规则的示意图。

例如，可以为所有存储帐户创建具有通配符的规则，从而引发数据外泄问题。恶意行为者可能会部署能够写入存储帐户的代码。

展示客户端数据外泄风险的示意图。

若要解决这些问题并降低数据外泄的风险，请使用 Azure 容器注册表的专用数据终结点功能。

专用数据终结点帮助从 Azure 容器注册表服务中检索层，并使用完全限定的域名表示注册表域。

由于任何注册表都可以异地复制，因此使用区域模式： [registry].[region].data.azurecr.io

对于 Contoso 示例，添加了多个区域数据终结点，以支持具有附近副本的本地区域。

使用专用数据终结点，可阻止恶意行动者写入其他存储帐户。

示意图展示了具有专用数据终结点的 contoso 示例。

此页面是否有帮助？